среда, 18 февраля 2015 г.

Информационная система ГАУ - ГИС или не ГИС? - вот в чем вопрос

Государственные автономные учреждения (ГАУ) являются операторами персональных данных, а в соответствии с ФЗ-152 от 27.07.2006 г. "О персональных данных" эти данные необходимо защищать. Ключевой вопрос при организации системы защиты конфиденциальной информации в данном случае - "Каким приказом ФСТЭК руководствоваться: № 17 или № 21?". Напомню, приказ № 21 устанавливает требования к защите персональных данных (ПДн), обрабатываемых в информационных системах персональных данных (ИСПДн), а приказ № 17 устанавливает требования к защите информации, не составляющей государственную тайну, обрабатываемой в государственных информационных системах (ГИС), причем при обработке персональных данных приказ № 17 требует выполнения требований приказа № 21. Ответа на этот вопрос нет до сих пор, мало того что его нет у сотрудников госучреждений, так его нет даже у государственных органов власти, уполномоченных в сфере защиты информации.
Мнения разделились, одни говорят, что информационная система ГАУ - ГИС, так как, учреждение является государственным и вся вычислительная техника приобретена за счет государства. Другие говорят, что необходимо проверить зарегистрирована ли данная информационная система в реестре государственных информационных систем, а в 99,9% случаев - данной системы там нет, значит система не государственная.
Согласно ФЗ-149 "Об информации, информационных технологиях и о защите информации" ст. 13:
"Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов."
ст. 14:
"Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях."
Теперь обратимся к ФЗ-174 "Об автономных учреждениях":
"Автономным учреждением признается некоммерческая организация, созданная Российской Федерацией, субъектом Российской Федерации или муниципальным образованием для выполнения работ, оказания услуг в целях осуществления предусмотренных законодательством Российской Федерации полномочий органов государственной власти, полномочий органов местного самоуправления в сферах науки, образования, здравоохранения, культуры, средств массовой информации, социальной защиты, занятости населения, физической культуры и спорта, а также в иных сферах в случаях, установленных федеральными законами".
Можно ли сделать вывод из трех выше представленных выписок из законов о том, что информационная система, функционирующая в ГАУ, попадает под определение государственной - вопрос спорный. И даже если сами ГАУ определятся для себя с ответом на этот вопрос, не факт, что с этим ответом согласятся представители контролирующих органов в области защиты информации. Поэтому на сегодняшний день самым простым решением данного вопроса является официальный запрос руководителей ГАУ в контролирующие органы по защите информации, а именно в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций - уполномоченному органу по защите прав субъектов персональных данных, и Федеральную службу по техническому и экспортному контролю - Федеральному органу исполнительной власти, уполномоченному в области противодействия техническим разведкам и технической защиты информации, которые могут проводить проверки и которым, в случае чего, можно будет предоставить текст их официального ответа.

понедельник, 16 февраля 2015 г.

Наказания за несоблюдение законодательства РФ по защите персональных данных

Данная статья расскажет, чем же карается несоблюдение законодательства РФ в области защиты персональных данных.

Несоблюдение нормативно-правовых актов в области защиты персональных данных влечет дисциплинарную, гражданскую, административную, уголовную и иную предусмотренную законодательством РФ ответственность. Все меры наказаний представлены в таблице:

Нормативно-правовой акт 
№ статьи
Статья
Субъект правонарушения -максимальные меры наказания
КоАП
5.39

Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, не предоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации


Должностное лицо - 
3000 руб.
КоАП
13.11
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Гражданин - 500 руб. 

Должностное лицо - 

1000 руб.

Юридическое лицо - 

10 000 руб.
КоАП
13.12 ч.2


Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)

Гражданин - 
2500 руб. + конфискация

Должностное лицо - 

3000 руб.

Юридическое лицо - 

20 000 руб. + конфискация 
КоАП
13.12 ч.6


Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации

Гражданин - 
1000 руб. 

Должностное лицо - 

2000 руб.

Юридическое лицо - 

15 000 руб. 
КоАП
13.13 ч.1


Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна)

Гражданин - 
1000руб.+конфискация 

Должностное лицо - 

3000 руб.+конфискация

Юридическое лицо - 

20 000 руб.
+ конфискация 
КоАП
13.14 ч.1

Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей

Гражданин - 
1000 руб. 

Должностное лицо - 

5000 руб.
КоАП
19.4 ч.1
Неповиновение законному распоряжению или требованию должностного лица органа, осуществляющего государственный надзор
Гражданин - 
1000 руб. 

Должностное лицо - 

4000 руб.
КоАП
19.5 ч.1

Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль, об устранении нарушений законодательства

Гражданин - 
500 руб. 

Должностное лицо - 

2000 руб. или дисквалификация на срок до 3 лет

Юридическое лицо - 

20 000 руб.
КоАП
19.5 ч.2

Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа


Должностное лицо - 
10000 руб. или дисквалификация на срок до 3 лет

Юридическое лицо - 

500 000 руб.
КоАП
19.6

Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения

Должностное лицо - 
5000 руб
КоАП
19.7

Непредставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), муниципальный контроль, сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), муниципальный контроль, таких сведений (информации) в неполном объеме или в искаженном виде


Гражданин - 
300 руб. 

Должностное лицо - 

500 руб. 

Юридическое лицо - 

5000 руб.
КоАП
19.20 ч.1

Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии), если такое разрешение (лицензия) обязательно (обязательна)

Гражданин - 
1000 руб. 

Должностное лицо - 

50 000 руб. или дисквалификация на срок от одного года до трех лет

Юридическое лицо - 

250 000 руб. или административное приостановление деятельности на срок до 90 суток
ТК
81
в)

Разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника

Работник - увольнение
ТК
90

Нарушение положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника

Работник - увольнение
ТК
237

Возмещение морального вреда, причиненного работнику

Размер возмещения морального ущерба определяет суд
УК
137

Нарушение неприкосновенности частной жизни

300 000 рублей или размер заработной платы или иного дохода осужденного за 2 года, либо лишение права занимать определенные должности или заниматься определенной деятельностью до 5 лет, либо принудительные работы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового, либо арест на срок до 6 месяцев, либо лишение свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет


Примечание:

  • КоАП – Кодекс об административных правонарушениях;
  • ТК – Трудовой Кодекс;
  • УК – Уголовный Кодекс.

Данная статья не рассматривает правонарушения при осуществлении предпринимательской деятельности в области защиты конфиденциальной информации.





Законодательство в области защиты персональных данных

Для того чтобы правильно обеспечить защиту персональных данных, необходимо иметь под рукой актуальный перечень нормативно-правовых актов. Рассмотрим законодательную базу в области защиты персональных данных.

Федеральные законы:

  • Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 06.04.2011, с изм. от 21.07.2011);
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 25.07.2011);
  • Федеральный закон от 25.07.2011 № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».
  • Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».


Указы:

  • Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера».


Постановления правительства:

  • Постановление Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».


Документы, разработанные Минкомсвязью:

  • Приказ Минкомсвязи РФ от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»;
  • Приказ Минкомсвязи РФ от 21.12.2011 № 346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных»;
  • Письмо Минкомсвязи РФ от 13.05.2009 № ДС-П11-2502 «Об осуществлении трансграничной передачи персональных данных».


Документы, разработанные Роскомнадзором:

  • Приказ Роскомнадзора от 5.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
  • Методические рекомендации по применению приказа Роскомнадзора от 5.11.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».


Документы, разработанные ФСТЭК:

  • Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России 2008);
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России 2008);
  • Методический документ «Меры защиты информации в государственных информационных системах» (утв. ФСТЭК России 11.02.2014).


Документы, разработанные ФСБ:

  • Приказ ФСБ России от 10.07.2014 № 378 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
  • «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные ФСБ России 21.02.2008 № 149/54-144;
  • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные ФСБ России 21.02.2008 № 149/6/6-622.

суббота, 14 февраля 2015 г.

Итоги конференции "Актуальные вопросы защиты информации"

12 февраля я посетила V конференцию по информационной безопасности "Актуальные вопросы защиты информации". Данную конференцию я посещаю впервые, поэтому впечатлений море. Очень приятно было увидеть представителей ФСТЭК, послушать их доклады, узнать о предстоящих изменениях в нормативно-правовых актах, методических документах и не только.

Всего в программе конференции было представлено 13 докладов, 5 из которых подготовили сотрудники ФСТЭК:
  1. Развитие нормативно-правовых и методических документов ФСТЭК России в области защиты информации. Докладчик - Виталий Лютиков, начальник Управления ФСТЭК России.
  2. Практика рассмотрения моделей угроз безопасности информации органов государственной власти и организаций. Докладчик - Елена Торбенко, заместитель начальника ФСТЭК России.
  3. Направления совершенствования сертификации средств защиты информации. Докладчик - Дмитрий Шевцов, заместитель начальника управления ФСТЭК.
  4. Основные недостатки, допускаемые заявителями при лицензировании деятельности по технической защите информации. Докладчик - Николай Мищенко, начальник отдела ФСТЭК России.
  5. Формирование банка данных угроз безопасности информации и базы данных уязвимостей информационно-телекоммуникационных технологий. Докладчик - Владимир Минаков, начальник отдела ФАУ "ГНИИИ ПТЗИ" ФСТЭК России.

Итак, рассмотрим каждый доклад отдельно.

Развитие нормативно-правовых и методических документов ФСТЭК России в области защиты информации. Докладчик - Виталий Лютиков, начальник Управления ФСТЭК России.

На сегодняшний день подготовлены проекты 6-ти новых методических документов:
  • Порядок аттестации информационных систем; 
  • Порядок обновления программного обеспечения в информационных системах;
  • Порядок выявления и устранения уязвимостей в информационных системах;
  • Порядок реагирования на инциденты, связанные с нарушением безопасности информации;
  • Защита информации в информационной системе при использовании мобильных устройств;
  • Защита информации в информационной системе при применении устройств беспроводного доступа.
В ближайшее время ожидается переработка приказа № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Любой желающий может отправить свои предложения/пожелания по изменению/совершенствованию приказа на адрес prikaz_17@fstec.ru до 15 апреля 2015 г. Внесение изменений запланировано на I квартал 2016 г., а правки в приложение к Приказу 17 с подробным перечнем мер защиты - на II квартал 2016 г.

Изменится подход к аттестации информационных систем. "Аттестат соответствия - это документ не для контролирующего органа, а для руководителя организации." При проверке аттестованных систем будут акцентировать внимание на:
  • Администрировании системы защиты информации;
  • Мониторинге за работой системы защиты и обеспечением уровня защищенности системы
  • Выявлении уязвимостей и реагировании на них
  • Управлении конфигурацией аттестованной информационной системы 
Обновление СТР-К запланировано на 2016 г.

Планируется разработка проектов новых методических документов по защите информации в АСУ ТП:
  • Меры защиты информации в автоматизированных системах управления;
  • Методика определения угроз безопасности информации в автоматизированных системах управления;
  • Порядок выявления и устранения уязвимостей в автоматизированных системах управления;
  • Порядок реагирования на инциденты, связанные с нарушение безопасности информации.
В конце доклада было задано много вопросов, но вот на вопрос: "Какая система является государственной?"- ответа конкретного не было, это очень огорчило.

Практика рассмотрения моделей угроз безопасности информации органов государственной власти и организаций. Докладчик - Елена Торбенко, заместитель начальника ФСТЭК России.

В 2014 г. сотрудники ФСТЭК России рассмотрели 60 моделей угроз, которые им прислали на согласование. Больше половины были возвращены составителям на доработку. Были выделены основные ошибки при составлении модели угроз:
  • Меры по защите информации не должны быть рассмотрены в модели угроз, они должны определяться уже на этапе разработки ТЗ;
  • Отсутствуют ссылки на нормативно-правовые акты, на основании которых составляется модель угроз;
  • Рассматриваются как правило только внешние нарушители;
  • Большое количество орфографических ошибок.
Подготовлен проект документа "Методика определения угроз безопасности информации в информационных системах".

Направления совершенствования сертификации средств защиты информации. Докладчик - Дмитрий Шевцов, заместитель начальника управления ФСТЭК.

Были представлены: структура системы сертификации ФСТЭК, показатели деятельности и направления совершенствования системы сертификации СЗИ. Осными направлениями являются:
  • Разработка и совершенствование требований и методических подходов по сертификации СЗИ;
  • Совершенствование порядка аккредитации органов по сертификации и испытательных лабораторий;
  • Совершенствование порядка сертификации СЗИ.
Основные недостатки, допускаемые заявителями при лицензировании деятельности по технической защите информации. Докладчик - Николай Мищенко, начальник отдела ФСТЭК России.

Данный доклад мне меньше всего понравился, так как презентация по нему полностью состояла из текста информационного сообщения ФСТЭК России от 23 апреля 2014 г. N 240/24/1433 "О типичных ошибках, допускаемых соискателями лицензий при подготовке и представлении документов для получения лицензий на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации", который в открытом доступе есть на сайте ФСТЭК.

И последний доклад, но только по порядку, а не по значению - Формирование банка данных угроз безопасности информации и базы данных уязвимостей информационно-телекоммуникационных технологий. Докладчик - Владимир Минаков, начальник отдела ФАУ "ГНИИИ ПТЗИ" ФСТЭК России.

На сегодняшний день ФСТЭК сформировал банк данных угроз безопасности и БД уязвимостей, которые уже в начале марта 2015 г. будут в открытом доступе для пользователей на сайте ФСТЭК. В докладе были представлены примеры структур, описания и представления угроз и уязвимостей. 

ИТОГИ

Основными темами конференции были защита ГИС и АСУ ТП, тема защиты ПДн не затрагивалась, но было рекомендовано при организации защиты ИСПДн по приказу № 21 следовать положениям приказа № 17, в части последовательности и методики создания системы защиты.

В ближайшее время мы увидим много новых нормативно-правовых и методических документов. Получим доступ к банку угроз безопасности, который поможет организациям в составлении моделей гроз, а также доступ к базе данных уязвимостей, который поможет разработчикам средств защиты информации совершенствовать свои продукты, для повышения уровня защиты информации.

В целом конференция произвела хорошее впечатление, надеюсь что в следующем году докладов ФСТЭК будет еще больше, а вопросов оставшихся без ответов меньше.

Презентации конференции выложены на сайте http://tbforum.ru.

четверг, 5 февраля 2015 г.

Мероприятия по Информационной безопасности ФЕВРАЛЬ 2015

В феврале в Москве состоятся следующие мероприятия по Информационной безопасности:

        1. Ежегодный Международный Форум по вопросам информационной безопасности, пользовательской безопасности и кибербезопасности – Cyber Security Forum 2015, Russia.               
        12 февраля 2015 г., пресс-центр МИА "Россия сегодня" по адресу: г. Москва, Зубовский бульвар, 4     
                                                           
         2. 20-й Международный форум "Технологии безопасности 2015" в рамках которого пройдет  V Конференция "Актуальные вопросы защиты информации" , организатором которой является ФСТЭК России.
        12 февраля 2015 г., г. Москва, Крокус Экспо, павильон 2, зал 8, м. Мякинино